第3课_数字签名技术与应用

1、第第3 3课课 数字签名技术与应用数字签名技术与应用n教学目的F掌握数字签名的基本原理和要求F了解几种常见的数字签名技术的基本概念F了解数字签名在PKI中的几种典型应用 n学习方法F注意阅读相关数字签名技术的资料和书籍F切实理解数字签名的基本原理以及在电子商务中的作用F了解常见数字签名技术的特点和原理F了解常见数字签名的应用形式n学习内容F数字签名的基本原理F几种常见的数字签名技术F几种常见的数字签名应用形式第第1 1节节 数字签名的基本原理数字签名的基本原理F数字签名的要求 (1)接收者能够核实发送者对报文的签名 (2)发送者事后不能抵赖对报文的签名 (3)接收者不能伪造对报文的签名F数字签

2、名和手书签名的区别 (1)手书签名是签署文件的物理部分；数字签名是签名“绑”到所签署文件上 (2)手书签名通过比较其它已认证的签名来验证当前签名的真伪；数字签名通过一个公开的验证算法对它进行确认 (3)手书签名文件能与原来的签名文件区分开来；数字签名文件的“拷贝”与原签名文件相同F数字签名提供的服务 (1)数据完整性服务 (2)不可否认服务第第1 1节节 数字签名的基本原理数字签名的基本原理F数字签名的组成 数字签名含有两个组成部分，即签名算法和验证算法。对m的签名可简记为sig(m,k)，而对s的证实简记为ver(s)=真,伪=0,1。签名算法或签名密钥是秘密的，只有签名人掌握。证实算法应当

3、公开，以便于他人进行验证。F数字签名的分类 按签名内容划分有两种，一种是对整个消息签名，一种是对压缩消息签名，它们都是附加在被签名消息之后或某一特定位置上的一段签名。数字签名按明、密文的对应关系也有两种，一种是确定型数字签名，其铭文与密文是一一对应的，它对一特定消息的签名不变化（使用签名者的密钥签名），如RSA，EIGamal等签名；另一种是随机化的或概率式数字签名，它对同一消息的签名是随机变化的，取决于签名算法的随机参数和取值。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术n数据摘要和Hash函数 杂凑（Hash）函数是将任意长的数字串M映射成一个较短的定长输出字符串H的函数，

4、以h(M)表示。即由M计算H=h(M)是容易的，但要产生一个M，使h(M)等于给定的杂凑值H是件难事。 杂凑函数分类一类有密钥控制，以h(k,M)表示，为密码杂凑函数；另一类无密码控制，为一般杂凑函数。无密钥控制的杂凑函数的函数值只是输入字符串的函数，用于检测数据的完整性；有密钥控制的杂凑函数的函数值不仅与输入有关，与密钥也有关，具有验证功能。我们研究的是密码杂凑函数。 数据摘要是用Hash函数把输入的任意长度消息变成特定长度的密文。 Hash函数的使用并不削弱签名方案的安全性，因为签名的是消息摘要而非消息本身。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术nRSA签名 存在问题

5、：通过选择任意的s和计算m=ek(s)，任何人都能伪造发送方的RSA签 名，因为s=sigk(m)是关于m的一个有效的签名。数据加密数字签名加密：ek(m)=me(mod n)解密：dk(c)=cd(mod n)签名：sigk(m)=md(mod n)验证：verk(s)=truem se(mod n)其中：e、n为发送方的公开密钥；d为发送方的私有密钥。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术nRSA签名 解决方法：Hash函数与数字签名结合使用。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术nELGamal签名 ELGamal签名在1985年给出，其变型已

6、被美国国家标准技术研究所采纳为数字签名算法（DSA）。它是为签名专门设计的，安全性基于求离散对数的困难性。可以看出，它是一种非确定性的双钥体制，即对同一个明文消息，由于随即参数选择的不同而又不同的签名。 定义：设p是一个使得在Zp上的离散对数问题是难处理的素数；是Zp*的一个生成元或本原元素；消息空间M为Zp*；签名空间S为Zp*Zp-1；a(mod p) 。值p、是公钥，a是私钥。 对于密钥K=(p, a, p)和一个在Zp-1*上秘密的随机数k，定义：sigk(m)=(,)，其中=k (mod p) ,=(m-)k-1mod(p-1)；定义：verk(x,(,)=true =m(mod p

7、)。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术nELGamal签名 举例：假定选取p=467，=2，a=127，那么 =a(mod p)=2127mod 467=132 若发送方要对消息m=100签名，取k=213(注意，gcd(213,416)=1)且213-1mod 466=431)。那么 =k (mod p)=2213mod 467=29 =(m-)k-1mod(p-1)=(100-12729)431 mod 466=51 任何人可通过计算 132292951189(mod 467) 和 2100189(mod 467) 来验证这个签名有效。因此，该签名是有效的。第第2

8、 2节节 几种常见的数字签名技术几种常见的数字签名技术nELGamal签名变型 ELGamal签名的安全性依赖于求离散对数的困难性，一般需要使用一个大的模p，p的长度至少需要1024bit，p越大安全性越高。一个1024bit的模导致ELGamal签名有2048bit。对许多要求使用智能卡的潜在应用而言，需要的是短签名。 1989年，Schnorr提出了一种可看作是ELGamal签名的变型的一种签名方案，其签名的长度被大大地缩短了。Schnorr签名中密钥的其他方面与ELGamal签名的类似。然而，Schnorr签名将Hash函数直接集成到了签名算法当中。 数字签名算法（DSA）是ELGama

9、l签名的另一种变型，它吸收了Schnorr签名的一些思想。DSA中的密钥与Schnorr签名中的密钥具有相同的形式，DSA同时还规定在消息签名之前，要用SHA-1算法生成一个消息摘要，对消息压缩，形成固定的160bit的消息摘要，最后得到320bit的签名。 椭圆曲线数字签名算法可以看作是DSA的变型，ECDSA的生成签名和验证要比DSA更快，一般用于一些较小的、对资源有一定限制的设备上，如智能卡。第第2 2节节 几种常见的数字签名技术几种常见的数字签名技术n美国数字签名标准DSS 在1991年8月30日，美国国家标准与技术学 会（NIST）在联邦注册书上发表了一个通知，提 出了一个联邦数字签

10、名标准，NIST称之为数字签 名标准（DSS，Digital Signature Standard）。 DSS提供了一种查核电子传输数据及发送者身份的一种方式。NITS提出，“此标准适用于联邦政府的所有部门，以保护韦加保密的信息.它同样适用于E-mail、电子金融信息传输、电子数据交换、软件发布、数据存储及其它需要数据完整性和原是真实性的应用”。 自从NIST引荐数字签名标准以来，它对DSS签名作了广泛的修改。DSS签名为计算和核实数字签名指定了一个数字签名算法（DSA），DSA于1994年5月19日颁布。DSA是Schnorr和ELGamal签名的变型，该算法只能用于数字签名而不能用于加密。

11、第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n具有数字摘要的数字签名 先用单向函数Hash算法，对原文信息进行加密压缩形成数据摘要，然后，对数据摘要用公开密钥算法进行加密和解密。原文的任何变化都会使数据摘要发生改变，所以它是一种对压缩的消息的签名。 这种数据签名是和对大文件的信息的数字签名。对一个数据签名要进行验证，就是最后对数据摘要的比较。第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n直接用私钥加密的数字签名 采用非对称算法中私有密钥对原文进行加密，而不用Hash单向散列函数做数据摘要，是一种对整体消息的签名，适用于小文件信息。 首先将原文用发方私钥加密，得到

12、数字签名，然后将原文和数字签名一起发向接收方，接收方用发方的公钥进行解密，最后与原文进行比较。第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n数字信封 所谓数字信封就是信息发送端用接收端的公钥，将一个通信密钥，即对称密钥，给予加密，形成一个数字信封（DE）。然后传送给接收端，只有指定的接收方才能用自己的私钥打开数字信封，获取该对称密钥（SK），用它来解读传送来的信息。 数字信封是PKI中使用对称密钥算法与非对称密钥算法的巧妙结合，是加密、数字签名和数据摘要技术的综合运用。第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式第第3 3节节 几种常见的数字签名形式几种常见的数

13、字签名形式将要传输的信息经杂凑函数运算后，得到一个数据摘要MD，MD=hash(信息)。发送者A用自己的私钥PVA对数据摘要MD进行加密，得A的数字签名发送者A将信息明文、数字签名和他的证书上的公钥三项信息，通过对称算法， 用对称密钥SK进行加密，得密文E发送者A在发送信息之前，必须事先得到接收方B的证书公钥PBB，用PBB加密 密钥SK，形成一个数字信封DEE+DE就是将密文与数字信封连接起来，即A所发送的内容接收者B用自己的私钥PVB解开所收到的数字信封DE，并从中取出A所用过的 对称密钥SK接收者B用SK将密文E解密还原成信息明文、数字签名和A的证书公钥B将数字签名用A证书中的公钥PBA

14、进行解密，将数字签名还原成信息摘要MDB再对已收到的信息明文，用同样的hash函数算法进行杂凑运算，得到一个新 的信息摘要MD对数字签名进行校验，比较收到已还原的MD和新产生的MD是否相等，二者 必须相等无误，否则不接收第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n双重数字签名 所谓双重数字签名就是在有的场合，发送者需要寄出两个相关信息给接收者，接收者只能解读其中的一组，而另一组只能转给第三方接收者，不能打开看其内容。这时发送者就须分别加密两组密文，做两组数字签名，故称双重数字签名。 举例：有一个B to C的电子商务应用过程，参与方为持卡人、商户和结算银行。当持卡人客户登陆商

15、户网站，提出申请购物时，持卡人要向商户提出两组信息：向商户直接提出订购信息的同时，还必须向银行提出付款信息，以便授权银行付款。但其中处理过程要有两个要点，即：持卡人不希望商户知道自己的银行支付账号的有关信息；同时也不希望银行方面知道具体的购物内容，只需按金额贷记或借记账户即可。 一个人的双重数字签名可以分别传送个特约商户和用户银行，特约商户只能解读与自己相关的信息，却解不开转送给开户银行的信息。设持卡人为A，特约商户为B，开户银行为C。第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式(1)(4)：为持卡人A，对订货信息和支

16、付信息，做双重数字签名，将发送给商户B的订货信息OI转发给开户银行C的支付信息PI分别做数据摘要处理后进行连接，形成MDBC，并以发送者A的私钥对MDBC进行加密，形成数字签名(DS)，从而使收到信息的B、C两方能各自用A的公钥进行解密并验证。(5)(6)：发送者A用随机产生的对称密钥SK1和SK2发送给商户B、银行C的信息，其中包括给B的信息：OI、DS、MDC和A自己证书上的公钥PBB；发送给银行C的信息：PI、DS、MDB和A的公钥PBA，对这些信息要进行加密，得密文EMB和EMC。其中，特别要注意的是，必须将订货信息摘要MBB传送给C，将支持信息摘要MDC传送给B。(7)(8)：以接收

17、者B和C证书的公钥将SK1和SK2加密，分别得到两个数字信封DEB和DEC。(9)：商户B的电子信箱收到了由A发送来的两组信息，一份自己解开；另一份B不能解读，只能传送给银行C。(10)(15)：商户B的电子信箱收到了EMB和DEB，B先用自己的私钥PVB打开数字信DEB，取出秘密密钥SK1，B再用SK1，使用对称DES算法解开密文EMB，其中B只能看到A传送给他的信息，而不能解读A所在开户行C的信息；然后，B用A的公钥PBA解读数字签名，并验证数据摘要MDBC是否等于MDBC，即MDBC=MDBC？。(16)(21)：为接收银行C的处理过程。当C收到B转发来的EMC和DEC之后，C先用自己的

18、私钥PVC解开数字信封，取出秘密密钥SK2。然后用SK2解开密文EMC。这时就可以用A的公钥PBA，解读数字签名MDBC，并与MDBC相比较，验证两个数据摘要是否相等。以此来证实A传来的消息未曾被B解读过。第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n其他形式的数字签名 盲签名：是一种允许一个人让另一个人签署文件，而第一个人不向签名者泄漏任何关于文档内容的技术。 盲签名举例：假设Alice为消息的拥有者，而Bob为签名人。在盲签名协议中，Alice的目的是让Bob对其文件进行签名，但又不想让Bob指导文件的具体内容。而Bob并不关心文件中说些什么，它只是保证它在某一是可以公证人

19、的资格证实了这个文件。 Alice从Bob处获得盲签名的过程一般有如下几个步骤： (1)Alice将文件m成一个随机数得m，这个随机数通常称为盲因子，Alice将盲消息m送给Bob； (2)Bob在m上签名后，将其签名sig(m)送回Alice； (3)Alice通过除去盲因子，可从Bob关于m的签名sig(m)中得到Bob关于原始文件m的签名sig(m)。 第第3 3节节 几种常见的数字签名形式几种常见的数字签名形式n其他形式的数字签名 代理签名： 最近，一种称为代理签名的新型签名方案被提出，由于这种签名机制在许多领域都有重要的应用，因此引起了人们的极大兴趣。代理签名的目的是当某签名人（这里

20、称为授权人）因公务或身体健康等原因不能行使签名权力时，将签名权委派给其他人替自己行使签名权。 目前，已经出台的一些代理签名方案仍存在一些 问题。有待进一步完善和解决。本章小结本章小结F本章介绍了数字签名技术的基本概念和原理，常用的几种数字签名技术，其中重点介绍了Hash函数、RSA签名、ELGamal签名及其变型和美国数字签名标准DSS，几种数字签名应用形式举例，包括具有数据摘要和直接用私钥加密的数字签名、数字信封和双重数字信封。关键术语关键术语F数字签名伴随着数字化编码的消息一起发送并与发送的消息有一定逻辑关联的数据项，借助数字签名可以确定消息的发送方，同时还可以确定消息子发出后未被修改过。FHash函数是一种计算相对简单但却很难进行逆运算的函数。F数据摘要用Hash函数把明文变成密文就形成数据摘要。FRSA签名利用RSA算法进行数字签名的技术，数字签名的过程中运用了消息的验证模式。发送方用发送方的私钥签名，接收方用发送方的公钥验证。FEIGamal签名利用EIGamal体制进行数字签名的技术，安全性依赖于求解离散对数问题的困难性。F数字签名标准DSS美国国家标准与技术学会（NIST）提出的联邦数字签名标准，该标准制定一个数字